Спецпроекты

Хакеры вломились в госсети США через «дыры» в VPN

Безопасность Стратегия безопасности

Появились данные об атаках на госсети и критическую инфраструктуру США со стороны неких хакеров с «господдержкой». Под угрозой информация о выборах.

Угроза для выборов в США

Национальное агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало сообщение о том, что некие «поддерживаемые государством» хакеры атаковали системы поддержки выборов в США, используя уязвимости в VPN-сетях, а также в Windows (CVE-2020-1472). Атаки были направлены также на правительственные сети в целом и на критическую инфраструктуру.

Эксперты впрочем в своих заявлениях проявляют некоторую неуверенность. «Непохоже, чтобы эти цели были выбраны в непосредственной связи с грядущими выборами, — говорится в сообщении CISA и ФБР, — Информация о выборах в некоторых правительственных сетях может быть под угрозой».

Таким образом, в некоторых случаях атакующим удалось проникнуть в системы поддержки выборов, но нет свидетельств того, что целостность информации в них где-либо была нарушена.

Для первичного проникновения злоумышленники воспользовались уязвимостями в VPN-серверах, доступных из интернета, в частности CVE-2018-13379 (Fortinet FortiOS SSL VPN) и CVE-2020-15505 (Mobile Iron Unified Endpoint Management) для мобильных устройств.

Затем они использовали скандально известную уязвимость Zerologon в Windows (CVE-2020-1472), которая позволяет повышать привилегии до уровня доменного администратора; это позволяет захватывать контроль над всем доменом и менять пароли для его пользователей.

haker600.jpg
Таинственные хакеры на госслужбе хозяйничают в сетях США, угрожая выборам

При этом в публикации CISA оговаривается, что в злоумышленники затем использовали легитимные инструменты доступа (VPN, RDP) со скомпрометированными реквизитами.

Старые знакомые хакеры и хорошо известные уязвимости

В CISA не стали уточнять происхождение «государственных» хакеров, однако вполне вероятно, что речь идет о тех же атаках, которые Microsoft в начале октября 2020 г. приписал иранской кибергруппировке Mercury (она же MuddyWater, SeedWorm, TEMP.Zagros), активно использующей Zerologon.

CISA предупредила и о серии других уязвимостей, которые также могут быть использованы для атак на правительственные учреждения и критическую инфраструктуру для получения первичного доступа. Имеются в виду CVE-2019-19781 в разработках Citrix Net Scaler, CVE-2020-15505 в разработках Mobile Iron, CVE-2019-11510 в разработках Pulse Secure, CVE-2020-2021 (Palo Alto Networks) и CVE-2020-5902 (F5 BIG-IP).

Все эти уязвимости рекомендовано срочно исправить, особенно правительственным учреждениям и объектам критической информационной инфраструктуры.

«Незакрытые уязвимости в сетях объектов критической инфраструктуры могут стать причиной катастрофического ущерба, — указывает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Особенно если это широко известные уязвимости, остающиеся открытыми на протяжении длительного времени. В правительственных структурах любых стран их исправление может откладываться бесконечно долго — покуда гром не грянет. То есть, когда уже что-то исправлять оказывается поздно. Регулярные напоминания о необходимости исправлять те или иные баги работают не всегда, но это лучше, чем ничего».